Hay dos categorías principales de riesgo en la nube.
- La primera área que las empresas analizan se llama “Shadow IT”, que se refiere a las aplicaciones en la nube que los empleados usan sin la aprobación del departamento de TI. Pueden usar Zippyshare para acceder a archivos grandes en las computadoras del trabajo y del hogar, o Gmail para colaborar con socios comerciales. Con Shadow IT, las empresas están preocupadas por la pérdida de datos de los empleados almacenados en servicios inseguros, el malware que secreta datos en secreto a través de aplicaciones en la nube o que los intrusos roban datos y los ocultan en aplicaciones anónimas en la nube. Por ejemplo, las organizaciones de atención médica pueden recibir una multa por almacenar datos de pacientes en aplicaciones en la nube inseguras.
- Luego están las aplicaciones en la nube aprobadas, que TI ha aprobado y, a menudo, compró para su uso en toda la empresa. Piense en Salesforce, Box, Dropbox for Work, etc. Estos servicios almacenan grandes cantidades de datos corporativos valiosos. Con proveedores de nube sancionados, las empresas no están tan preocupadas por una brecha dentro del servicio. En cambio, les preocupa que los empleados compartan accidentalmente datos fuera de la empresa, que los piratas informáticos accedan a información corporativa con contraseñas robadas y que los administradores corruptos cambien o roben datos corporativos para obtener ganancias.
En Skyhigh, hemos descubierto más de 20,000 aplicaciones en la nube. Ningún equipo de TI podría realizar un seguimiento de todos los servicios en la nube, y cada día aparecen más. Hacemos un seguimiento de más de 50 rasgos del proveedor de la nube: ¿cifran los datos en reposo? ¿Reclaman la propiedad de los datos cargados? ¿Dónde están ubicados sus centros de datos?
De los 50 atributos, proporcionamos una calificación de riesgo del 1 al 10. Con base en esta calificación de riesgo, las compañías establecen políticas para el uso del servicio. Muchos de nuestros clientes de Fortune 500 han creado un programa de gobierno en la nube para clasificar miles de servicios en la nube y mantenerse al día con la demanda de los empleados. Aquí hay más información sobre cómo configurar e implementar el gobierno de la nube: Cómo implementar un marco de gobierno de la nube
- ¿Qué es la 'nube' en el mundo tecnológico?
- Si Google Compute Engine == Amazon EC2 y Google App Engine == Amazon Beanstalk y X == AWS, entonces, ¿qué es X?
- ¿Cuál es la mejor nube que puede usar un aficionado de IoT de forma gratuita, o es Azure (AWS, Artik, Google Cloud) de todos modos?
- ¿Cuál es el mejor servicio de almacenamiento basado en la nube para hacer una copia de seguridad de su biblioteca de música?
- Como CIO, ¿cuáles son sus tres principales preocupaciones acerca de pasar a la virtualización en la nube (en lugar de tener servidores internos)?
Con las aplicaciones autorizadas, las compañías observan el comportamiento de los empleados para buscar comportamientos sospechosos que puedan sugerir un intruso o atacante externo. También es posible que quieran cifrar datos con sus propias claves de cifrado para cumplir con la ley de privacidad o evitar que cualquier persona que no sea sus propios empleados acceda a los datos. Aquí hay una visión más detallada de los riesgos y soluciones de seguridad en la nube: la guía definitiva de seguridad en la nube
